クレジットカード情報は含まれず

脅迫メールにより、大量の情報流出を認めた形だが、同社によると、流出が確認された情報は会員の住所、氏名、性別。生年月日、電話番号、メールアドレスで、対象者は40万5576件。ネット販売に関する決済は外部委託のため、クレジットカード情報は含まれていない。

流出したのは17年10月31日。サーバーへの不正アクセスを確認し、不正アクセス元からの通信遮断など緊急措置を実施。セキュリティチェックとともに、会員サービスの業務委託業者とシステム開発会社、サーバー管理会社に調査を依頼し、「不正アクセスは確認したが、個人情報がダウンロードされた痕跡は認められない」との見解に基づき、公表は見送った。

3年半後に攻撃元が金銭を要求

以降、同年内にシステムの見直しを行ったが、3年半後の21年5月25日になって、同社関係者が「脅迫メール」を受信した。「2017年末にサーバーをハッキングし、顧客情報を持っている」との文面とともに、金銭を要求。さらに、受信メール内のリンク先から「52万8563件のデータと、2017年10月末の会員情報40万5576件」の存在を確認した。同社によると差異の12万件は重複や個人情報以外の情報、閲覧不能の情報としている。

それから、警察と個人情報保護委員会に報告。6月3日に警察に「恐喝被害」を正式に届け出た。7日に同社HPに情報流出の発覚と経緯、お詫びを掲載し、情報流出対象者へ「お詫びとお知らせ」のメールを送信。8日に特設のコールセンターと専用メールアドレスで問い合わせなどに対する対応を開始した。